Attacco hacker alla Commissione Europea: rubati 340 GB di dati, coinvolte decine di enti

Un incidente che coinvolge direttamente istituzioni europee riporta al centro il tema della sicurezza delle infrastrutture digitali pubbliche. L’attacco che ha colpito un servizio della Commissione Europea ha esposto dati appartenenti a decine di enti, evidenziando criticità non nuove ma spesso sottovalutate.

Episodi simili non sono isolati: negli ultimi anni le agenzie governative europee hanno aumentato l’adozione di piattaforme condivise e servizi cloud, ampliando la superficie di attacco e rendendo più complessa la gestione centralizzata della sicurezza. Così, il ruolo dei team di risposta agli incidenti diventa decisivo, ma non sempre sufficiente a prevenire compromissioni.

Attacco a un servizio critico della Commissione Europea

L’incidente occorso nei giorni scorsi riguarda una piattaforma utilizzata per la condivisione di informazioni tra enti europei. Il sistema, gestito dal CERT-EU (Servizio per la cybersicurezza delle istituzioni, degli organi e degli organismi dell’Unione), è stato oggetto di un accesso non autorizzato che ha permesso agli attaccanti di consultare dati relativi a circa 30 entità. Non si tratta di un’infrastruttura marginale: questi ambienti vengono utilizzati per lo scambio di documentazione sensibile, report tecnici e informazioni operative tra organismi istituzionali.

Le analisi iniziali indicano che l’attacco non ha coinvolto l’intera rete della Commissione, ma si è concentrato su un servizio specifico. Una distinzione importante: riduce l’impatto complessivo, ma conferma che anche componenti isolati possono rappresentare un punto di ingresso efficace se non adeguatamente protetti.

Ricostruzione tecnica dell’attacco e ruolo della supply chain

Le indagini hanno permesso di ricostruire con maggiore precisione la sequenza operativa. Il 10 marzo scorso gli attaccanti, identificati come gruppo TeamPCP, hanno sfruttato una chiave API compromessa di Amazon Web Services (AWS) con privilegi di gestione su più account della Commissione. La credenziale era stata sottratta in un precedente e ormai noto attacco alla supply chain che coinvolge lo strumento di sicurezza Trivy, utilizzato per analizzare vulnerabilità nei container e nelle dipendenze software, dimostrando come un singolo punto debole possa propagare effetti a cascata.

Una volta ottenuto l’accesso all’ambiente cloud, gli attori malevoli hanno utilizzato TruffleHog, utility progettata per individuare segreti e credenziali nei repository e negli ambienti cloud.

L’obiettivo era chiaro: espandere la superficie di accesso e individuare ulteriori token, chiavi e configurazioni sensibili. Per ridurre la probabilità di rilevamento, è stata creata una nuova chiave di accesso associata a un utente già esistente, tecnica che consente di mascherare l’attività tra operazioni legittime.

Il gruppo TeamPCP non è nuovo a operazioni di questo tipo. Diversi report lo collegano a compromissioni della supply chain su piattaforme di sviluppo come GitHub, PyPI, NPM e Docker. In uno degli episodi più rilevanti, citato in precedenza, gli attaccanti hanno manomesso il pacchetto LiteLLM pubblicato su PyPI (il repository ufficiale delle librerie Python), inserendo al suo interno un malware chiamato TeamPCP Cloud Stealer, un software malevolo progettato per rubare dati riservati dai sistemi compromessi. È stato in grado di infettare decine di migliaia di dispositivi.

Pubblicazione dei dati e attività di estorsione

Il 28 marzo il gruppo ShinyHunters, noto per operazioni di data extortion, ha pubblicato il dataset sottratto su un sito nel dark web.

L’archivio raggiunge circa 90 GB, che diventano oltre 340 GB una volta decompressi. Il contenuto include nomi, indirizzi email e messaggi, elementi che possono essere sfruttati per campagne mirate o ulteriori attività di compromissione.

Le analisi condotte dal CERT-EU confermano il furto di decine di migliaia di file contenenti dati personali, username e comunicazioni email. L’impatto interessa fino a 71 soggetti utenti del servizio di hosting cui fa capo europa.eu: 42 interni alla Commissione e almeno 29 entità dell’Unione Europea. Tra i dati individuati figurano oltre 51.000 file legati a comunicazioni email in uscita, per un totale di circa 2,22 GB.

Una parte consistente riguarda notifiche automatiche con contenuto limitato; tuttavia, le cosiddette notifiche di ritorno – generate quando un messaggio non viene recapitato – possono includere il contenuto originale inviato dagli utenti. Questo dettaglio aumenta il rischio di esposizione di informazioni personali inserite nei moduli o nelle comunicazioni con i servizi europei.

Secondo le verifiche sin qui svolte, non risultano alterazioni ai siti Web ospitati né movimenti laterali verso altri account AWS della Commissione. L’attività si è concentrata sulla sottrazione dei dati, sfruttando la chiave compromessa. Le autorità competenti sono state informate e le comunicazioni con le entità coinvolte sono già in corso, mentre l’analisi completa dei dati richiederà tempi lunghi.